PortQry を使用して Active Directory 接続の問題をトラブルシューティングする方法

この記事では、PortQry を実行して、任意のバージョンのネットワーク コンポーネントまたはシナリオWindowsネットワーク接続をテストする方法について説明Windows。

適用対象:  Windows Server 2012R2
元の KB 番号:   816103

はじめに

PortQry はコマンド ライン ユーティリティであり、このユーティリティを使用して、他のコンポーネントと機能で使用Windows TCP/IP 接続のトラブルシューティングを行います。 このユーティリティは、リモート コンピューター上の移行制御プロトコル (TCP) ポートとユーザー データグラム プロトコル (UDP) ポートのポート状態を報告します。 PortQry を実行して、任意のバージョンWindowsコンポーネントまたはシナリオのネットワーク接続をテストWindows。

この記事では、portqry を使用して Active Directory および Active Directory 関連コンポーネントの基本的な TCP/IP 接続を確認する方法について説明します。

  • Active Directory ドメイン サービス (ADDS)
  • ライトウェイト ディレクトリ アクセス プロトコル (LDAP) 用の Active Directory
  • リモート プロシージャ呼び出し (RPC)
  • ドメイン ネーム サービス (DNS)
  • その他の ADDS 関連コンポーネント
  • ADDS が依存している他のコンポーネント

必要なポートとプロトコルに対するネットワーク接続の確認は、ファイアウォールを含む中間デバイスにドメイン コントローラーが展開されている場合に特に便利です。

PortQry のインストール

ダウンロード Portqry.exe

PortQry .exeは、Microsoft ダウンロード センターからダウンロードできます。 PortQry ファイルをダウンロード.exe、次の Microsoft Web サイトを参照してください。

PortQry コマンド ライン ポート スキャナー バージョン 2.0 をダウンロードする

Microsoft サポート ファイルをダウンロードする方法の詳細については、次のマイクロソフト サポート技術情報を参照してください。

119591 オンライン サービスから Microsoft サポート ファイルを取得する方法

Microsoft は、このファイルをスキャンしてウイルスを検出しました。 Microsoft は、ファイルが投稿された日付に利用可能だった最新のウイルス検出ソフトウェアを使用しました。 ファイルはセキュリティが強化されたサーバーに保存され、ファイルに対する未承認の変更を防ぐのに役立ちます。

PortQueryUI と呼ばれるグラフィカル バージョンの PortQry ツールには、PortQry を使いやすくする追加機能が含まれている。 PortQueryUI ツールをダウンロードするには、次の Microsoft Web サイトを参照してください。

PortQryUI のダウンロード - PortQry コマンド ライン ポート スキャナーのユーザー インターフェイス

詳細情報

PortQry は、次の 3 つの方法の 1 つでポートの状態を報告します。

  • リッスン: プロセスがターゲット システム上のターゲット ポートでリッスンしています。 PortQry はポートから応答を受け取った。
  • リッスンしない: ターゲット システム上のターゲット ポートでリッスンしているプロセスはありません。 PortQry は、ターゲット UDP ポートからインターネット制御メッセージ プロトコル (ICMP)"宛先到達不能 - ポート到達不能" メッセージを受信しました。 または、ターゲット ポートが TCP ポートの場合、Portqry はリセット フラグが設定された TCP 確認パケットを受信しました。
  • フィルター処理: ターゲット システム上のターゲット ポートがフィルター処理されています。 PortQry はターゲット ポートから応答を受信しなかった。 プロセスがポートでリッスンしている場合と、リッスンしていない場合があります。 既定では、TCP ポートは 3 回クエリされ、UDP ポートはターゲット ポートがフィルター処理される前に 1 回クエリされます。

PortQry を使用すると、LDAP サービスに対してクエリを実行することもできます。 UDP または TCP を使用して LDAP クエリを送信し、LDAP サーバーの応答をクエリに解釈します。 LDAP サーバーからの応答が解析され、書式設定され、ユーザーに返されます。

Active Directory によって提供される RPC インターフェイスでは、動的サーバー ポートを使用できます (ほとんどは構成可能です)。クライアントは RPC エンドポイント マッパーを使用して、特定の Active Directory サービスの RPC インターフェイスのサーバー ポートを検索します。

RPC エンド ポイント マッパー データベースはポート 135 をリッスンします。 つまり、TCP ポート 135 は、基本的な LDAP クエリを超えるほとんどの展開に必要なポートです。 また、ドメインのメンバーであるすべてのクライアントにも必要です。

PortQry の詳細については、以下を参照してください。

310099 コマンド ライン ユーティリティPortqry.exe説明

Active Directory、DFS、DFSR、証明書サービス、その他のすべてのサービスをWindows使用するポートとプロトコルの一覧は、次のサポート技術情報記事で確認できます。

832017サービスの概要とネットワーク ポートの要件Windows

注意

一時的なポートを使用する Active Directory および他のサービスには、ポート 135 から、Windows のサービスの概要とネットワーク ポート要件に記載されているすべてへの接続が必要です。

この記事には、AD固有のポートとプロトコルも参照してください。

179442 ドメインと信頼のファイアウォールを構成する方法

PortQry は、RPC エンド ポイント マッパー (UDP と TCP を使用) にクエリを送信し、応答を解釈する方法を知っています。 このクエリは、RPC エンド ポイント マッパーに登録されているすべてのエンド ポイントを表示します。 エンド ポイント マッパーからの応答が解析され、書式設定され、ユーザーに返されます。

PortQry を使用できない場合は、LDP.EXE を使用してポート 389 のドメイン コントローラーに接続し、[接続なし] チェック ボックスをオンにします。

PortQry のもう 1 つの代替手段は NLTEST ですが、任意のサーバーでは機能しません。 サーバーは、ツールを実行するコンピューターと同じドメイン内のドメイン コントローラーである必要があります。 この場合は、Nltest /sc_resetを使用して、特定のドメイン コントローラーにセキュリティ チャネル <domain name> \ <computer name> を強制的に適用できます。 詳細については、「ネットワーク接続 」を参照してください

portqry の使用

例 1: Portqry を使用して UDP ポート 389 を使用して特定のポートおよびプロトコル上の接続をテストする例

この例では、PortQry を使用して LDAP サービスが応答しているかどうかを判断する方法を示します。 応答を調べることで、ポートでリッスンしている LDAP サービスとその構成に関する詳細を確認できます。 この情報は、さまざまな問題のトラブルシューティングに役立ちます。

既定では、LDAP はポート 389 をリッスンするように構成されています。 呼び出し例は、UDP プロトコルを使用してクエリを実行するサーバーを指定します。

PortQry -n <fqdn> -p udp -e 389

PortQry は、Windows Server 2003 以降のコンピューターに含まれる %SystemRoot%\System32\Drivers ...\Services ファイルを使用して UDP ポート 389 を自動的に解決 \ します。 次の出力例では、ポートはアクティブな LDAP サービスに解決され、PortQry はポートがリッスンまたはフィルター処理されたと報告します。

次に、PortQry は、応答を受信する書式設定された LDAP クエリを送信します。 ユーザーに対する応答全体を返し、ポートがリッスンしているという報告を行います。 PortQry がクエリに対する応答を受信しない場合は、ポートが FILTERED と報告されます。

サンプル出力

C: \>portqry -n <fqdn> -e 389 -p udp

次の呼び出し先システムに対するクエリを実行します。

<fqdn>

名前を IP アドレスに解決しようとするとします。

169.254.0.14 に解決された名前

UDP ポート 389 (不明なサービス): リッスンまたはフィルター処理

LDAP クエリを UDP ポート 389.に送信します。

LDAP クエリ応答:

currentdate: <DateTime> (未変更 GMT)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
設定,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Configuration,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN=Schema,CN=Configuration,DC=reskit,DC=com
configurationNamingContext:
CN=Configuration,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMechanisms: GSSAPI
dnsHostName: <HostName>
ldapServiceName: <ServiceName>
serverName:
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE

======== LDAP クエリ応答の終了 =========
UDP ポート 389 がリッスンしている

注意

UDP を使用した LDAP テストは、サーバー 2008 以降で実行されているWindowsに対して動作しない場合があります。 この理由の 1 つは、ドメイン コントローラーで IPv6 を無効にしている可能性があります。 IPv6 を有効にするには、以下の記事で説明する値を既定値の 0 に設定します
929852ユーザー向け IPv6 の構成Windowsガイダンス

例 2: RPC エンドポイント マッパーに登録されているサービスを識別する

この例では、PortQry を使用して、ターゲット サーバーの RPC エンド ポイント マッパー データベースに登録されているサービスまたはアプリケーションを特定する方法を示します。 出力には、各アプリケーションのユニバーサル一意識別子 (UUID)、注釈付き名前 (存在する場合)、アプリケーションが使用するプロトコル、アプリケーションがバインドされているネットワーク アドレス、およびアプリケーションの終了点 (ポート番号、角かっこ内の名前付きパイプ) が含まれます。 この情報は、さまざまな問題のトラブルシューティングに役立ちます。

既定では、RPC エンド ポイント マッパー データベースはポート 135 をリッスンするように構成されています。 呼び出し例は、UDP プロトコルを使用してクエリを実行するサーバーを指定します。

portqry -n <fqdn> -p udp -e 135

サンプル出力

次の呼び出し先システムに対するクエリを実行します。

<fqdn>

名前を IP アドレスに解決しようとするとします。

169.254.0.18 に解決された名前

UDP ポート 135 (epmap service): リッスンまたはフィルター処理
エンドポイント マッパー データベースのクエリ。
サーバーの応答:

UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS バックアップ インターフェイス
ncacn_np: \ \ \ \MYDC[ \ PIPE \ lsass]

UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 NTDS 復元インターフェイス
ncacn_np: \ \ \ \MYDC[ \ PIPE \ lsass]

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:169.254.0.18[1027]

UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np: \ \ \ \MYDC[ \ pipe \ 00000580.000]

検出されたエンドポイントの総数: 6

==== RPC Endpoint Mapper クエリ応答の終了 ====

UDP ポート 135 がリッスンしている

PortQry は、(UDP または TCP を使用して) 正しい形式の DNS クエリを送信できます。 ユーティリティは"." の DNS クエリを送信 portqry.microsoft.com します。その後、PortQry はターゲット DNS サーバーからの応答を待機します。 クエリに対する DNS 応答が負か肯定的かは関係ありません。これは、ポートがリッスンしているという応答を示すので関係ありません。